вторник, 4 марта 2014 г.

"Бумажный щит" на страже персональных данных

Первое, что необходимо помнить про законодательство по защите ПДн, - оно ни в коем случае не направленно на информационную безопасность организаций, а на защиту граждан. Специалист по ИБ рассматривает здесь в качестве угрозы регулятора, а не то, что у него будет расписано в модели угроз (ну а особо хитрый специалисты будут использовать 152-ФЗ с подзаконными как инструмент выбивания бюджета).

Если регулятор в начинает с проверки документов (и в большинстве случаев ей и заканчивает), то логично сделать первым делом "бумажный щит". Толщина такого "щита" играет немаловажную роль - чем запутанней и толще Ваш пакет документов, тем сложнее там найти ошибку (хотя допустить ошибку, конечно, проще). Это печально, но таковы реалии.

Надо признать, что задачу по разработке пакета документов по персональным данным я принял с энтузиазмом - помниться за один день сделал пакет документов для выдуманной фирмы в качестве задания по "Организационной защите информации на предприятии" (или как-то так). Собственно теория оказалась далека от практики. И это несмотря, что за основу документов мы взяли шаблоны, приобретенные в компании "Б-152". )Изначально мы планировали воспользоваться услугами сервиса 152pro... но нам не удалось согласовать с ними договор оказания консультационных услуг - помниться, у них были странные условия по суммарному времени, которое их тех.поддержка может на нас тратить).

Что касается сервиса Б-152, то у нас возникли небольшие сложности с документами для бухгалтерии, но дело в конце концов решилось. Также, стоит отметить, что документ "Инструкция администратора СКЗИ" до сих пор использует терминологию утратившего силу ФЗ "Об ЭЦП"... Но зато тех.поддержка на мои вопросы отвечала весьма и весьма оперативно. Сервис представляет из себя набор форм, в которые вносятся данные, и в результате есть возможность скачать пакет документов числом 33 (то что отлично подходит для увеличения толщины нашего "бумажного щита").

Но сами формы заполнить тоже оказалась непросто. Особенно, если в Компании работаешь не так давно, объективно не понимаешь, чем занимается половина подразделений. Потому разработал "хитрую" анкету, практически повторяющую ту информацию, которую необходимо загрузить в "документогенератор".

Преамбула к анкете:
В целях приведения ООО «Каркаде» в соответствие требованиям законодательства Российской Федерации в области защиты персональных данных мы собираем сведения о порядке сбора и обработки персональных в данных различных департаментах ООО «Каркаде».
Персональные данные – это любые сведения о человеке (например, ФИО, телефон, адрес или любые паспортные данные). В ходе своей работы Вы постоянно сталкиваетесь с персональными данными клиентов и сотрудников, которые нужны для выполнения бизнес-функций Компании: покупки автомобиля для клиентов, агентских выплат, оформления доверенностей и договоров лизинга, начисления заработных плат и уплаты налогов…
Информация о том, как Вы получаете и обрабатываете эти данные крайне важна для создания документов, которые потребуются нам в случае проверки, поэтому просим Вас заполнить данную анкету.
Кому интересна анкета целиком – могу отправить (хотя сейчас я бы ее несколько изменил).

Выбор и согласование договора с сервисом, разработка и сбор анкет (а также консультирование по ним) убило месяц (не думайте только, что весь месяц я только этим и занимался - были и куда более насущные проблемы). Мой энтузиазм несколько поугас... особенно когда я стал внимательно вчитываться в результат. Да, документы соответствуют законодательству (за исключением пары ляпов, которые оперативно поправили и еще пары ляпов, которые уже затем найдут юристы)... но вот до соответствия процессам Компании было далеко. И речь здесь не о том, что у нас какие-то процессы были выстроены неправильно, а о том, что ну просто у нас не все так, как написано в документах... но «наш вариант» не противоречит законодательству (хотя в ряде случае это приходилось долго выяснять).

Приведу пример. Один из документов предусматривает журнал регистрации учета обращений органов власти с запросами про перс.данные. У нас такого журнала нет и в нем нет необходимости - у нас есть журнал учета входящих документов, в котором отражены все поля, которые необходимы в соответствие с действующим законодательством. Мелочь, конечно, но несколько десятков таких мелочей привели к тому, что ушел еще месяц на пересмотр и адаптацию документов. Вычислил, кстати, с помощью одного СЕОшного сервиса процент схожести изначально полученных шаблонов с результатом, получил такие цифры:
  • Положение о комиссии. Переписанная копия На 80.08% Процент(а|ов) Похожа На Оригинальный текст 
  • План мероприятий. Переписанная копия На 77.22% Процент(а|ов) Похожа На Оригинальный текст 
  • Перечень ПДн. Переписанная копия На 39.19% Процент(а|ов) Похожа На Оригинальный текст 
  • Перечень должностей, имеющих доступ к ПДн. Переписанная копия На 25.78% Процент(а|ов) Похожа На Оригинальный текст 
  • Обязательство о неразглашении (у нас имелся свой вариант)
  • Согласие (основания) обработки. Переписанная копия На 30.42% Процент(а|ов) Похожа На Оригинальный текст 
  • Соглашение о конфиденциальности (у нас имелся свой вариант)
  • Перечень ИСПДн. Переписанная копия На 36.84% Процент(а|ов) Похожа На Оригинальный текст
  • Технический паспорт. Переписанная копия На 4.54% Процент(а|ов) Похожа На Оригинальный текст 
  • Инструкция администратора безопасности. Переписанная копия На 77.04% Процент(а|ов) Похожа На Оригинальный текст 
  • Инструкция менеджера по обработке ПДн. Переписанная копия На 80.84% Процент(а|ов) Похожа На Оригинальный текст 
  • Положение об обработке ПДн. Переписанная копия На 90.38% Процент(а|ов) Похожа На Оригинальный текст
  • Политика Компании в отношении обработки ПДн. Переписанная копия На 97.8% Процент(а|ов) Похожа На Оригинальный текст
  • Положение об обеспечение безопасности ПДн. Переписанная копия На 86.57% Процент(а|ов) Похожа На Оригинальный текст 
  • Регламент классификации ИСПДн. Переписанная копия На 62.49% Процент(а|ов) Похожа На Оригинальный текст
  • Модель угроз (одна из). Переписанная копия На 90.74% Процент(а|ов) Похожа На Оригинальный текст
  • Протокол определения ущерба. Переписанная копия На 62.98% Процент(а|ов) Похожа На Оригинальный текст
  • Акт классификации ИСПДн (проверил для одной). Переписанная копия На 37.79% Процент(а|ов) Похожа На Оригинальный текст 
  • Техническое задание (для одной ИСПДн). Переписанная копия На 12.47% Процент(а|ов) Похожа На Оригинальный текст 
  • Инструкция пользователя ИСПДн. Переписанная копия На 83.17% Процент(а|ов) Похожа На Оригинальный текст
  • Регламент по учету, хранению и уничтожению носителей ПДн. Переписанная копия На 73.99% Процент(а|ов) Похожа На Оригинальный текст
  • Регламент предоставления доступа к ИСПДн. Переписанная копия На 73.89% Процент(а|ов) Похожа На Оригинальный текст
  • Регламент реагирования на запросы субъектов ПДн. Переписанная копия На 92.34% Процент(а|ов) Похожа На Оригинальный текст 
  • Регламент реагирования на инциденты ИБ. Переписанная копия На 60.65% Процент(а|ов) Похожа На Оригинальный текст
  • Регламент резервного копирования. Переписанная копия На 93.8% Процент(а|ов) Похожа На Оригинальный текст
  • Регламент взаимодействия с ОГВ. Переписанная копия На 90.99% Процент(а|ов) Похожа На Оригинальный текст 
Уже после этих манипуляций мы стали согласовывать все это дело с юристами, местами с HR'ми, местами с Департаментом ИТ. И всего через месяц пакет был согласован, размещен на внутреннем портале и направлен на ознакомление всем работникам Компании под роспись.

К слову, система документации выглядит весьма страшно:


После согласований началась веселая часть, где отправленные Почтой России документы из далеких филиалов теряются, коллеги тихо (или громко) офигивают от странного и огромного пакета, за ознакомление с которым подписываются... но все потихоньку успокоилось. Уже недавно актуализировали некоторые документы, уже внедрены регламентированные законодательством процессы... и можно поговорить о том хорошем, что принесла вся эта наша активность по созданию "бумажного щита".

1. Мы теперь подписываем с контрагентами соглашение о конфиденциальности. NDA, конечно, это мелочь... но других средств защиты информации от утечек из тех компаний, которым нам необходимо передавать / предоставлять доступ к данным, (кроме аудита, на который банально у нас не хватит ресурсов) мы просто не придумали. А в рамках 152-ФЗ прописано - передаешь данные, значит должно быть соглашение о конфиденциальности (если быть точным, то требования п.3 ПП 1119, но я всем коллегам пишу, согласно 152-ФЗ, если не просят детализировать. Всем, кроме юристов, конечно :))

Кстати, многие банки в ответ на нашу просьбу подписать соглашение о конфиденциальности присылают свою форму. Есть весьма адекватные... у "Банка Москвы" мне, честно говоря, понравилась типовая форма даже больше чем наша. Думаю, при следующей актуализации документов позаимствуем из него пару пунктов.

2. Есть план по внедрению СЗПДн... там, правда перечислены средства и сроки, которые мы планируем внедрять на основе оценки рисков, а не моделей угроз ИСПДн (т.е. нам как раз таки модели пришлось "подтягивать" под риски), но все равно - утвержденный на высшем уровне документ, согласно которому будет выделен бюджет на закрытие ряда уязвимостей. (Ибо, признаюсь, с методикой оценки рисков хоть и разобрались, но весь процесс управления рисками еще не выстроен так идеально, как хотелось бы).

3. В отношении утечек информации - многое, что дорого Компании так или иначе содержат персональные данные, будь то контакты представителя лизингополучателя или зарплаты работников - и здесь наши интересы тесно переплетаются с требованием законодательства. Потенциальный "злодей" уже понимает, что нарушает не какие-нибудь внутренние регламенты и подвергнется (если поймают - а мы уже ловим;-)) дисциплинарной ответственности, а нарушает законодательство РФ.

4. Разработка пакета дала представление о многих процессах в Компании, а это в целом немаловажно (если ты не интегратор, который "сделал и забыл"). Еще оказалось, что у нас отличные юристы, что вдохновляет.

5. Ну и сам "бумажный щит" позволяет Компании чувствовать себя увереннее и более расслабленно ожидать проверки.

Комментариев нет:

Отправить комментарий